Renaud Feil (Synacktiv) : « L’opération Triangulation pourrait venir des Five Eyes »

Derrière l’opération triangulation, peut-on y voir la marque de fabrique des Five Eyes[1] ?

Renaud Feil : Comme vous pouvez vous en douter, je n’ai aucune information privilégiée sur le sujet, il ne s’agit que de suppositions. Mais vu le nombre de vulnérabilités de type zero-day utilisées et l’expertise nécessaire pour les identifier et les exploiter, je me dis que l’organisation qui est derrière cette cyberattaque dispose de beaucoup de moyens.

Le raisonnement qui est le mien est de dire que les Five Eyes possèdent ces moyens et qu’ils s’intéressent beaucoup à la Russie. Il y a donc de fortes chances que ce soit eux, ou en tout cas un État ayant des capacités équivalentes.

Cela pourrait-il être un autre pays occidental que les Five Eyes ?

Renaud Feil : Oui mais quand on regarde l’analyse technique, les vulnérabilités, leur enchaînement, le fait que l’opération ait été découverte et que, selon Kaspersky, elle a touché beaucoup de monde, je me dis que c’est un pays assez ambitieux qui, même si sa cyberattaque s’est fait repérer, possède d’autres vulnérabilités à exploiter en stock.

Quelles étaient les cibles de cette attaque ?

Renaud Feil : Si l’on reprend le communiqué du FSB (Service fédéral de sécurité de la Fédération de Russie), un millier de téléphones environ auraient été visées. Cela comprend des personnalités (des « VIP », comme par exemple des diplomates…), ainsi que des salariés de la société Kaspersky.

Est-ce que le grand public est menacé ou uniquement des personnalités bien précises ?

Renaud Feil : Les cibles sont des personnalités bien précises. Les attaquants évitent généralement de gaspiller leurs cartouches sur n’importe qui. On peut cependant imaginer qu’ils aient aussi attaqué certains proches (famille, amis…). Ces personnes peuvent en effet détenir des informations sensibles qui pourraient être exploitées par un service de renseignement.

Pourquoi cibler un éditeur de solutions antivirus tel que Kaspersky ?

Renaud Feil : Les éditeurs d’antivirus sont intéressants à bien des égards. Ils réalisent notamment beaucoup de télémétrie sur les parcs de machines de leurs clients, recueillant ainsi de très nombreuses informations. Pour un service de renseignement, compromettre une entreprise telle que Kaspersky présente de multiples intérêts.

Le risque de se faire découvrir n’est-il pas extrêmement risqué quand on s’attaque à un spécialiste des antivirus ?

Renaud Feil :Pas forcément, car l’iPhone est un monde assez clos, assez difficile à débugger. Observer une attaque sur un iPhone reste plus compliqué que de le faire sur un réseau informatique Windows ou Linux pour lequel de très nombreux outils d’investigation existent. L’investigation sur iPhone progresse, mais cela reste encore un domaine où peu d’experts sont vraiment à l’aise. Comme l’écosystème Apple est très fermé, les attaquants qui parviennent à rentrer dans ce système sont difficiles à détecter.

Si Kaspersky a réussi à comprendre le fonctionnement de l’attaque, c’est avant tout grâce à l’observation des communications réseau des téléphones. Les experts de Kaspersky ont dû faire le tri entre les bonnes communications réseau et les « mauvaises ». Par ailleurs, si l’implant est bien conçu, il évite de communiquer sur un réseau Wifi et attend d’être en 5G, car ce réseau est plus compliqué à observer, même si c’est faisable. Les experts Kaspersky ont donc dû être patients et attendre le bon moment.

Ce qui a en revanche joué en leur faveur est l’absence de mécanisme de persistance sur cette attaque. Cela signifie que le redémarrage d’un iPhone corrompu faisait disparaître la backdoor de l’attaquant. Ce dernier devait donc réinfecter le téléphone. Kaspersky a donc pu s’amuser à redémarrer un certain nombre de téléphones et à les observer se refaire compromettre à nouveau, ce qui lui a permis de progresser dans son enquête.

Est-il possible qu’Apple ait collaboré à la création de ce type d’outil d’espionnage ?

Renaud Feil : C’est un débat qui anime certains groupes de discussion et c’est un argument que la Russie avance dans son communiqué. Elle prétend qu’Apple aurait aidé la NSA à réaliser cette attaque. Aujourd’hui, rien ne permet de justifier une telle accusation. Apple, dans le passé, s’est toujours refusé à le faire, du moins publiquement.

Cela étant, les communautés d’experts en sécurité sont perméables, personne ne peut vraiment lutter contre cela. Certains anciens salariés d’Apple sont ainsi partis travailler dans des entreprises de cybersécurité proches du secteur de la défense. Inversement, certains anciens collaborateurs des services de renseignement travaillent désormais chez Apple, dans la sécurité des iPhones.

Il est donc probable qu’il y ait quand même des échanges entre Apple et les services de renseignement, sans même que la direction d’Apple ne soit impliquée. La communauté du renseignement des Five Eyes est très puissante, il serait surprenant qu’elle n’ait pas un pied chez les grands éditeurs de solutions téléphoniques comme Apple.

Il faut toutefois bien préciser que l’attaque Triangulation n’est pas une backdoor dont disposerait Apple sur les iPhones. Dans ce qu’écrit Kaspersky, nous voyons qu’il s’agit de vraies vulnérabilités qu’il faut enchaîner les unes après les autres pour parvenir à ses fins. L’accusation directe de collaboration entre Apple et la NSA est donc un peu facile.

Quels sont les moyens investis dans cette opération ?

Renaud Feil : Les moyens investis dans cette opération sont difficiles à évaluer, car ils sont directement liés au niveau de compétence et de salaire des ingénieurs ayant travaillé à la recherche de ces vulnérabilités et à la conception de ces outils. Quand certains ingénieurs travaillent sur des sujets extrêmement pointus, ils peuvent être très correctement rémunérés.

Le budget évoqué par certains experts du secteur – 5 millions d’euros – ne me semble pas délirant. Mais le salaire des ingénieurs ne fait pas tout. Il faut aussi être en présence d’une équipe dont les compétences informatiques sont solides. Ce n’est pas en superposant quarante ingénieurs « classiques » que vous arriverez à concevoir ces outils. N’importe quel pays ne peut pas créer ce type d’attaque. Même avec un très gros budget, il faut de la compétence, de la capacité et un excellent vivier de talents informatiques.

On estime que le temps nécessaire à la mise sur pied d’une telle opération est au minimum d’un an si vous disposez déjà d’une bonne équipe d’ingénieurs travaillant en parallèle, sur un rythme de croisière. Si ce n’est pas le cas, il faut avoir en tête que ce sont des compétences qui s’acquièrent en deux ou trois ans, minimum.